Информация о GDPR
1. Учреждение и применение GDPR
DickPic Pro управляется [YOUR CYPRUS LTD LEGAL NAME], это private company limited by shares, учреждённая по законодательству the Republic of Cyprus. Компания учреждена в пределах Европейского союза, и GDPR применяется ко всей её обработке персональных данных в контексте деятельности этого учреждения, независимо от того, где происходит обработка или где проживает Субъект данных (ст. 3(1) GDPR).
2. Роли — разделение между работой Сервиса и обработкой контента
Наша роль по GDPR разделена на две отдельные области (см. также Политику конфиденциальности § 3 и Соглашение об обработке данных):
- Работа Сервиса — мы являемся Контролёром данных аккаунта, платёжных записей, логов аудита и данных безопасности.
- Обработка контента — мы являемся Обработчиком присланных изображений, сгенерированных PDF-отчётов и метаданных анализа. Пользователь (или, в контексте Agency / API, бизнес-Клиент) является Контролёром. Условия нашей обработки изложены в DPA.
Это разделение единообразно применяется ко всем продуктам. Оно отражает тот факт, что пользователь определяет, что присылать, какой промпт применять, какой шаблон использовать и от чьего имени — а мы следуем этим инструкциям, не используя контент в собственных целях.
3. Законные основания
Для нашей обработки в качестве Контролёра мы опираемся на следующие законные основания:
- Исполнение договора (ст. 6(1)(b)) — для обработки, необходимой для предоставления Сервиса, запрошенного пользователем, или для исполнения наших обязательств перед бизнес-Клиентом.
- Законные интересы (ст. 6(1)(f)) — для безопасности, предотвращения мошенничества, целостности сервиса и улучшения продукта, с учётом баланса прав и свобод Субъектов данных.
- Юридическая обязанность (ст. 6(1)(c)) — для хранения записей, требуемых налоговым, бухгалтерским или иным применимым законодательством, и для обязательной отчётности, где применимо.
- Согласие (ст. 6(1)(a) и, где применимо, ст. 9(2)(a)) — там, где мы запрашиваем согласие на конкретную опциональную обработку.
Для обработки контента, где мы действуем как Обработчик, законное основание определяется Клиентом (Контролёром). DPA требует от Клиентов обеспечить наличие действительного законного основания для Обработки, которую они поручают.
4. Данные особых категорий
Часть контента, присылаемого в Сервис, может в зависимости от обстоятельств представлять собой «данные особых категорий» в значении ст. 9 GDPR. Присылка такого контента регулируется нашими Основными условиями обслуживания: пользователь (или Клиент) заверяет, что все необходимые согласия получены от изображённых лиц и что присылка законна в его юрисдикции. Там, где мы действуем как Обработчик, обеспечение наличия надлежащего законного основания по ст. 9 является обязанностью Клиента как Контролёра.
5. Права субъектов данных
При условии проверки личности и с учётом применимых исключений Субъекты данных могут осуществлять следующие права:
- Право на доступ (ст. 15)
- Право на исправление (ст. 16)
- Право на удаление (ст. 17)
- Право на ограничение обработки (ст. 18)
- Право на переносимость данных (ст. 20)
- Право на возражение (ст. 21)
- Право отозвать согласие в любой момент, где основанием является согласие (ст. 7(3))
- Право не быть объектом решения, основанного исключительно на автоматизированной обработке, порождающего юридические или аналогичные значимые последствия (ст. 22) — в настоящее время мы не осуществляем такое принятие решений
По запросам, касающимся данных, которые мы храним как Контролёр (данные аккаунта, биллинг, безопасность), направляйте запрос напрямую нам через контактный канал в Политике конфиденциальности.
По запросам, касающимся обработки контента, где мы действуем как Обработчик (присланные изображения, сгенерированные PDF), запрос эффективнее всего адресовать Клиенту, поручившему Обработку от вашего имени (для пользователей Agency — вашему агентству; для пользователей API-интегратора — этому интегратору). Мы поможем им с ответом.
Мы ответим на прямые запросы в течение одного месяца с момента поддающегося проверке запроса; для сложных запросов срок может быть продлён ещё на два месяца с уведомлением в течение первого месяца (ст. 12(3) GDPR).
6. Международные передачи
Сервис работает из the Republic of Cyprus, государства-члена ЕС. Поэтому присылка персональных данных в Сервис представляет собой обработку в пределах Европейского союза и сама по себе не является международной передачей для целей Главы V GDPR.
Там, где персональные данные передаются субпроцессорам за пределами Европейской экономической зоны, передачи регулируются Стандартными договорными условиями Европейской комиссии (Decision (EU) 2021/914) либо иным законным механизмом передачи согласно Главе V GDPR, при этом мы выступаем экспортёром данных. Текущий список субпроцессоров и мест их обработки опубликован на /legal/subprocessors.
DPA между нами и Клиентами, действующими как Контролёры, построено так, чтобы поддерживать такие последующие передачи без дополнительных действий Клиента там, где мы действуем как Обработчик.
7. Представитель в ЕС и специалист по защите данных
Поскольку Компания учреждена в Европейском союзе (the Republic of Cyprus), требование ст. 27 GDPR о назначении представителя в ЕС не применяется.
Назначение специалиста по защите данных (DPO) согласно ст. 37 GDPR обязательно только там, где основная деятельность Контролёра требует регулярного и систематического мониторинга Субъектов данных в крупном масштабе или состоит в крупномасштабной обработке данных особых категорий. Мы на постоянной основе оцениваем наши обязательства по DPO и назначим DPO, если и когда наша обрабатывающая деятельность достигнет порогов ст. 37. До этого момента вопросы конфиденциальности и защиты данных решаются внутри и могут быть адресованы через контактный канал в Политике конфиденциальности.
8. Право подать жалобу
Субъекты данных имеют право подать жалобу в надзорный орган, в частности в государстве-члене своего обычного проживания, места работы или места предполагаемого нарушения, если считают, что обработка их персональных данных нарушает GDPR (ст. 77 GDPR).
Надзорным органом для Компании в её качестве учреждённой в the Republic of Cyprus является:
Office of the Commissioner for Personal Data Protection of the Republic of Cyprus
Адрес: Iasonos 1, 1082 Nicosia, Cyprus
Веб-сайт: https://www.dataprotection.gov.cy
Email: commissioner@dataprotection.gov.cy
Мы рекомендуем Субъектам данных сначала связаться с нами через канал в Политике конфиденциальности, чтобы мы могли решить вопросы напрямую.